CVE-2026-45151
LowCVSS 2.9Exploitation Probability (EPSS)
Low risk13th percentile — higher than 13% of all known CVEs
Summary
W wersjach 0.24.8 i wcześniejszych broker MQTT NanoMQ może dereferencjonować wskaźnik substrumienia, gdy substrumień jest w stanie ponownego otwarcia. Kod kończy operację AIO z błędem, ale nie zwraca przed zablokowaniem mutexa c->mtx.
Risk Assessment
Podatność ta może prowadzić do zablokowania systemu, co może wpłynąć na dostępność usług w organizacji. W przypadku wykorzystania tej luki, atakujący może spowodować awarię brokera wiadomości.
Recommendation
Zaleca się aktualizację do wersji NanoMQ powyżej 0.24.8, aby usunąć tę podatność. Należy również monitorować logi systemowe w celu wykrycia potencjalnych prób wykorzystania tej luki.
Original NVD description (English source)
NanoMQ MQTT Broker (NanoMQ) is an all-around Edge Messaging Platform. In 0.24.8 and earlier, quic_stream_recv can dereference a null substream pointer when a substream is in reopen state. The code finishes the AIO with error but does not return before locking c->mtx.

